Uma campanha coordenada que tem como alvo desenvolvedores utiliza repositórios maliciosos disfarçados de projetos legítimos em Next.js e avaliações técnicas para enganar vítimas e levá-las a executar esses códigos, garantindo acesso persistente a máquinas comprometidas.
Segundo um relatório divulgado nesta semana pela equipe Microsoft Defender Security Research Team, essa ação integra um grupo mais amplo de ameaças que exploram iscas relacionadas a vagas de emprego para se infiltrar nos fluxos de trabalho comuns de desenvolvedores, aumentando as chances de execução de código malicioso.
A Microsoft explica que a campanha se caracteriza pela utilização de múltiplos pontos de entrada, que levam ao mesmo resultado: a execução, em tempo de execução, de JavaScript controlado pelo invasor para facilitar o comando e controle (C2) da máquina infectada.
Os atacantes criam repositórios falsos em plataformas confiáveis para desenvolvedores — como o Bitbucket — com nomes atrativos, como “Cryptan-Platform-MVP1”, para enganar profissionais em busca de empregos e induzi-los a executar o código, supostamente como parte de um processo seletivo.
Foram identificados três métodos distintos para a execução do código malicioso nos repositórios:
1. Execução via workspace do Visual Studio Code**: projetos com configurações automatizadas preparados para rodar um código malicioso proveniente de um domínio da Vercel assim que o desenvolvedor abre e confia no projeto, acionando o gatilho `runOn: "folderOpen"`.
2. Execução durante o build da aplicação**: ao rodar manualmente o servidor de desenvolvimento com o comando `npm run dev`, o código malicioso embutido em bibliotecas JavaScript modificadas — que se passam por arquivos comuns, como o `jquery.min.js` — é ativado para buscar um loader hospedado na Vercel e executá-lo em memória via Node.js.
3. Execução na inicialização do servidor**: ao iniciar o backend da aplicação, um loader malicioso oculto em um módulo ou rota é ativado, exfiltrando variáveis de ambiente para um servidor externo e executando JavaScript recebido em memória dentro do processo Node.js.
Todos os métodos resultam na execução do mesmo payload JavaScript, que coleta informações do sistema hospedeiro e realiza consultas periódicas a um endpoint de registro para obter um identificador único, chamado “instanceId”.
Esse identificador é usado para correlacionar atividades subsequentes.
O payload também pode executar código JavaScript fornecido pelo servidor em memória, abrindo caminho para um segundo estágio de controle que transforma o acesso inicial em uma presença persistente, mantendo a comunicação com um servidor C2 adicional.
Essa etapa minimiza a evidência deixada no disco rígido, reforçando a furtividade da invasão.
A Microsoft destaca que esse controlador mantém a continuidade da sessão, envia telemetria de erros, inclui lógica para tentativas de conexão e monitora processos gerados, podendo encerrar as atividades maliciosas quando instruído.
Além da execução sob demanda, o segundo estágio suporta operações de descoberta e exfiltração conduzidas pelo operador.
Embora a Microsoft não tenha atribuído a campanha a um ator específico, o uso de tarefas do VS Code e domínios da Vercel para distribuir malware é uma técnica associada a hackers ligados à Coreia do Norte, especialmente na campanha conhecida como Contagious Interview.
O objetivo final desses ataques é comprometer sistemas de desenvolvedores, que frequentemente armazenam dados sensíveis como código-fonte, segredos e credenciais, possibilitando movimentos laterais mais profundos dentro da rede alvo.
Em um relatório divulgado na quarta-feira, observou-se uma mudança na tática dos invasores.
Houve aumento no uso de servidores alternativos para hospedar payloads utilizados nas tarefas do VS Code, substituindo domínios da Vercel.
Entre esses servidores estão scripts hospedados em GitHub gists e links encurtados, como o short[.]gy, usados para ocultar URLs da Vercel.
A Abstract também identificou um pacote npm malicioso vinculado à campanha, chamado “eslint-validator”, que baixa e executa um payload ofuscado a partir de um link do Google Drive.
Esse payload é um malware JavaScript conhecido como BeaverTail.
Além disso, um script malicioso embutido em tarefas do VS Code, encontrado em um repositório no GitHub, inicia uma cadeia de infecção exclusiva para Windows.
Ele executa um script batch para instalar o runtime Node.js (caso não esteja presente) e utiliza a ferramenta certutil para decodificar um código embutido.
O script decodificado é então executado com o Node.js para implantar um malware Python protegido com PyArmor.
A empresa Red Asgard, que também monitora intensamente a campanha, relatou o uso de projetos de VS Code especialmente configurados para disparar a execução pelo gatilho “runOn: folderOpen”, recuperando JavaScript armazenado em contratos NFT na blockchain Polygon para maior resiliência.
O payload final desse processo é um stealer, que coleta credenciais e informações de navegadores, carteiras de criptomoedas e gerenciadores de senhas.
Em 2025, a infraestrutura de staging utilizada pelos atores norte-coreanos incluiu pelo menos seis serviços legítimos para hospedar payloads maliciosos, entre eles JSON Keeper, Mocki, npoint.io, Render, Railway.app e Vercel — esta última foi a mais empregada, com 49 usos confirmados pela equipe de segurança da GitLab.
“Em dezembro, observamos um conjunto de projetos que executavam malware via tarefas do VS Code, seja redirecionando conteúdo remoto para um shell nativo, seja executando scripts customizados para decodificar malware a partir de dados binários em arquivos de fontes falsas”, complementou Oliver Smith, da GitLab, confirmando descobertas semelhantes às da Microsoft.
A GitLab também descobriu um projeto privado aparentemente controlado por um cidadão norte-coreano que gerencia uma célula de trabalhadores de TI da Coreia do Norte.
O projeto continha registros financeiros detalhados, mostrando ganhos superiores a US$ 1,64 milhão entre o primeiro trimestre de 2022 e o terceiro trimestre de 2025, organizados em mais de 120 planilhas, apresentações e documentos.
Segundo a empresa, esses dados evidenciam uma operação estruturada, com metas definidas, procedimentos claros e supervisão hierárquica rigorosa, além de capacidade significativa para operações globais, lavagem de dinheiro e manutenção da resiliência operacional.
Para combater essa ameaça, a Microsoft recomenda que organizações reforcem as barreiras de confiança nos fluxos de trabalho dos desenvolvedores, adotem autenticação forte e acesso condicional, mantenham rigorosa higiene de credenciais, apliquem o princípio do menor privilégio para contas e identidades relacionadas a desenvolvimento, além de segregar a infraestrutura de build sempre que possível.
Essa investigação coincide com a ação do GitLab, que baniu 131 contas únicas responsáveis pela distribuição de projetos maliciosos ligados à campanha Contagious Interview.
A maioria desses atores utilizava e-mails Gmail para criar contas e operava a partir de redes VPN públicas, com algumas conexões originadas de infraestruturas VPS ou redes de laptops automatizados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...